Шифровальщик WantToCry

[FineGad]

26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 

Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.

 

!want_to_cry.txt

Изменено 26 декабря, 2024 пользователем FineGad

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[FineGad]

И да, забыл сказать, расшифровка не нужна, нужен способ найти и удалить шифровальщик

[thyrex]

Для этого и нужно выполнить правила.

[FineGad]

Файлы

Addition.txt FRST.txt files.zip

 

Зашифрованные файлы:  crypted_files.zip

Могу приложить их же, не зашифрованные если нужно.

Изменено 26 декабря, 2024 пользователем FineGad

[safety]

Судя по логам FRST на этом устройстве нет следов запуска шифровальщика. Проверьте на оставшихся двух других было ли шифрование на них или нет.

[FineGad]

Следующая часть (марлезонского балета)

Может самому можно посмотреть (куда смотреть?)

Addition.txtFRST.txt

Изменено 27 декабря, 2024 пользователем FineGad

[safety]

Смотреть можно в логи FRST по вновь созданным файлам.

Смотрите файлы, созданные по дате и времени, которые соответствуют дате и времени шифрования. Так же можно обратиться в ТП PRO32, если вы являетесь лицензионным пользователем данного продукта.

[FineGad]

13 минут назад, safety сказал:

можно обратиться в ТП PRO32, если вы являетесь лицензионным пользователем данного продукта

Я являюсь 30 дневным пользователем   

[safety]

1 час назад, FineGad сказал:

Следующая часть (марлезонского балета)

На этом устройстве так же не видны следы запуска шифровальщика.

(Если только данный шифровальщик не настроен исключительно на шифрование сетевых дисков).

[FineGad]

10 минут назад, safety сказал:

Если только данный шифровальщик не настроен исключительно на шифрование сетевых дисков

Судя по всему так и есть, шифровались только файлы из сетевых папок файлового сервера. Сейчас активности нет, но хотелось бы прояснить 2 момента. 
1. Остался ли вирус на какой либо машине (просто сейчас не активен но через какое-то время может опять начать работать).

2. Учитывая что доступа извне нет, хотелось бы узнать хотя бы на какой машине было заражение.

[safety]

Как вариант, просканировать устройства штатным антивирусом, или KVRT, но сэмплы WTC еще не встречались. В каком виде они используются: скрипты, исполняемые exe не могу сказать.

[FineGad]

44 минуты назад, safety сказал:

сэмплы WTC

$R25ZN3T.zip

Не оно случайно?

[safety]

Нет, старый файл, скорее всего установщик какой нибудь адвари.

[BOBO]

Реально ли найти ключ шифрования если нашел зашифрованный блок пробелов?